מה זה ג’קט קליק וכיצד להגן על עצמך מפני זה

[ware_item id=33][/ware_item]

התקפות פריצה ונתונים נעשות בדרכים רבות המסייעות לתוקף לגשת למידע שלך. אך סביר להניח שאינך מודע לטכנולוגיית Clickjacking המשמשת בהאקר. שלא כמו הנדסה חברתית, הזרקת SQL, התקפות DDoS ואחרות, Clickjacking הוא זה שלא דנים בו הרבה. עם זאת, הוא מזיק ופגיע באותה מידה כמו אחרים.


מה זה חלון קליקים, כיצד למנוע זאת והיכן הוא נמצא? על כל השאלות הללו, מאמר זה יעזור לענות. עם זאת, זה מבלבל לזהות שיטת פריצה זו.

מה זה Clickjacking?

לחיצה על קליקים כפי שנראה בשם היא טכניקה בה המשתמש נלכד באמצעות לחיצה על כל דבר. זה נעשה במספר דרכים על ידי הונאת המשתמש כיוון שהאובייקט עליו הוא לוחץ שונה ממנו הוא נראה.

כתובת ממשק משתמש היא מונח נוסף המשמש לביצוע קליקים. הסיבה לכך היא שהתהליך כולל טכניקה שלפיה ממשק המשתמש הצפוי ממוקם תחת ממשק משתמש שקוף אחר. זו הסיבה שהמשתמש לוחץ על משהו מעניין מתגלה כזדוני עבור המכשיר והנתונים שלו.

טקטיקה נוספת הנהוגה בשיטה זו היא זו על ידי הסחת דעת המשתמש באמצעות שינוי מיקום הסמן. הסמן המוצג במיקום אחד נמצא למעשה במצב אחר. דרך התוקף הזה יכול לגרום לאנשים ללחוץ על דברים שיכולים לספק את המידע האישי שלהם.

Clickjacking כולל מגוון של התקפות כה חריגות וגאוניות. דומה היה זה שדווח לאחרונה, בו תמונה תמימות למראה ב- WhatsApp יכולה להעביר את שליטת חשבונך לשולח התמונה, ברגע שלחיצה על התמונה על ידי המקלט.

מה זה ג'קט קליק וכיצד להגן על עצמך מפני זה

התקפות חברתיות-הנדסיות כלולות גם בקטגוריית jackjacking על ידי כמה אנשים. לדוגמה, בטוויטר, הופץ ציוץ הכולל קישור וביטוי 'אל תלחץ' בשנת 2009. וכאשר מישהו לוחץ על אותו הדבר, הוא גם ציוץ מחשבון שלו. שיטה כזו משמשת גם בכדי להרוויח כסף באמצעות קישורים בפייסבוק.

אם אתה מניח שחילוץ קליקים נעשה רק באמצעות לחיצה, אתה טועה בזה. זה גם מדווח על מכשיר אנדרואיד. Android.Lockdroid.E, תוכנת ransomware של אנדרואיד משיגה שליטה במכשיר הממוקד באמצעות jackjacking.

כיצד למנוע ג'קט קליק

אם אתה מנהל אתר, אתה יכול למנוע כיבוי קליקים. אבל אם לא, אין דרכים יעילות ושימושיות רבות להימנע מעיבוד קליקים.

עם זאת, אחת הדרכים המוצעות ביותר למניעת jackjacking היא להשתמש בתוסף Firefox ללא סקריפט בזמן הגלישה. זהה לפרסום הימנעות מהרחבות, ללא סקריפט ימנע טעינה של סקריפט כלשהו עד לאימות מסוים מכם.

ללא סקריפט עם תכונות נגד לחיצה על זיהוי זיהוי הסקריפט שיוצר שכבות-על שקופות באתרי אינטרנט. תוספים מסוימים המונעים מאפייני סקריפט והורדת אפליקציות עשויים גם לחסוך מכם לחיצה על קליקים.

מה זה ג'קט קליק וכיצד להגן על עצמך מפני זה

עם זאת, מנהלי אתרים הם הדרך בה ניתן להשיג הגנות טובות ביותר לחיזוק קליקים. עם זאת, מרביתם מופרכים וטכניים. אבל אם אתה רוצה את הדרך ליישם אותם, אתה יכול לבדוק את זה ב- Clickjacking Defense Cheat Sheet מ- OWASP.

כדי להפסיק ג'קט קליקים, אתה יכול לכלול גם כותרת HTTP עם אפשרויות מסגרת x-frame, שהיא אחת הדרכים היעילות ביותר להגן על האתר שלך. זה מונע את טעינת תוכן האתר שלך במסגרת (תג) או iframe (תג).

בהקלת האיום, זוהי דרך יעילה להימנע מעלימת קליקים, מכיוון שטקטיקה זו משמשת כמנחת התקפה לביצוע קליקים כמו גם התקפות זדוניות אחרות..

באפשרויות X-Frame תוכלו להשתמש

ישנם שלושה ערכים אפשריים לכותרת של אפשרויות מסגרת X;

דחה:  לא ניתן להציג את הדף במסגרת אפילו אם האתר מנסה לעשות זאת

SAMEORIGIN: מה שמאפשר רק לאתר הנוכחי למסגר את התוכן.

מאפשר מ Uri:  ניתן להציג את הדף רק במסגרת עם המקור שצוין.

דאגה אמיתית לכולם בימינו היא כל פגיעות במכשירי האנדרואיד שלהם. כדי לצמצם את הסיכוי לחיזוק קליקים בטלפון שלך, עליך להשתמש באפליקציות אותנטיות ומהימנות למטרת ההורדה. הורדת אפליקציות כמו Apple App Store או חנות Google Play נוטות פחות לכלול דברים זדוניים בהשוואה למקור צד שלישי כלשהו, ​​ובכל זאת הם גם אינם חופשיים לחלוטין מפגיעויות כאלה..

דפדפני האפליקציה הם מקום סביר להניח שתוכלו להתמודד עם התקפת jackjacking. לכן, במקום להשתמש בדפדפן בתוך האפליקציה, תוכלו להגדיר את התנהגות ברירת המחדל לפתיחת קישור באפליקציות שלכם להיפתח בדפדפן המערכת. זה יפטר סיכוי אחד נוסף שתלכוד.

סיכום

נדנדת קליקים נראית יותר מטרד ממה שהיא באמת. עם זאת, אם הוא משתמש ביעילות ובחוכמה על ידי תוקף, מכיוון שהוא יכול לתת להם גישה למידע הרגיש ולחשבונות האישיים שלך.

לחיצה על לחיצה עלולה לגרום לך נזק רציני מכיוון שהיא נובעת בדרך כלל ממקור חסר הבחנה. כדי להימנע מ- Clickjacking, תוכלו להשתמש בתוספי חסימת סקריפט אך יש לזכור את הדבר שהסוגים האלה של תוספות הם גם מעט מעוררי מחלוקת.

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me